Comportamentul prestabilit al politicii targeted poate fi personalizat prin configurarea unor parametri care pot activa sau dezactiva anumite reguli ale acestei politici. Parametrii rerspectivi pot lua doar două valori - off sau on. Politica SELinux are anumite reguli condiționale care sunt activate sau dezactivate, în funcție de valorile curente ale unui set de politici booleene. Acest set de politici booleene (SELinux booleans) permit modificarea regulilor politicii targeted fără a avea loc o nouă încărcare a noii politici - toate schimbările booleene au efect imediat.
Pentru a vedea valorile booleene actuale ale politicii folosite, vom rula comanda getsebool:
# getsebool -a | head abrt_anon_write --> off abrt_handle_event --> off abrt_upload_watch_anon_write --> on antivirus_can_scan_system --> off antivirus_use_jit --> off auditadm_exec_content --> on authlogin_nsswitch_use_ldap --> off authlogin_radius --> off authlogin_yubikey --> off awstats_purge_apache_log_files --> off
Noi parametri care pot lua valori booleene sunt adăugate acestei liste atunci când instalăm noi pachete în sistem. Putem vedea o scurtă descriere a fiecărui parametru folosind comanda semanage:
"# semanage boolean -l
SELinux boolean State Default Description
abrt_anon_write (off , off) Allow abrt to anon write
abrt_handle_event (off , off) Allow abrt to handle event
abrt_upload_watch_anon_write (on , on) Allow abrt to upload watch anon write
antivirus_can_scan_system (off , off) Allow antivirus to can scan system
antivirus_use_jit (off , off) Allow antivirus to use jit
auditadm_exec_content (on , on) Allow auditadm to exec content
authlogin_nsswitch_use_ldap (off , off) Allow authlogin to nsswitch use ldap
authlogin_radius (off , off) Allow authlogin to radius
[...]"
De reținut că în coloana State este starea curentă, iar în coloana Default este menționată starea de după reboot.
Activarea și dezactivarea valorilor booleene SELinux
Pentru a schimba valoarea booleană a unui parametru SELinux, vom folosi comanda setsebool. În exemplu de mai jos am listat valoarea curentă a parametrului httpd_enable_ftp_server, am schimbat această valoare din off în on și am listat noua sa valoare:
# whatis setsebool setsebool (8) - set SELinux boolean value # # semanage boolean -l | grep httpd_enable_ftp_server httpd_enable_ftp_server (off , off) Allow httpd to enable ftp server # # getsebool httpd_enable_ftp_server httpd_enable_ftp_server --> off # # setsebool -P httpd_enable_ftp_server on # # getsebool httpd_enable_ftp_server httpd_enable_ftp_server --> on #
De reținut: pentru a face schimbarea persistentă (rezistentă unui reboot), trebuie folosită întotdeauna opțiunea -P.
Durează aproximativ 20 de secunde schimbarea efectivă a unui parametru cu comanda setsebool, deoarece un nou binar al politicii targeted este compilat în urma modificării. Noul binar este localizat în directorul /etc/selinux/targeted/policy.
Mai multe despre SELinux booleans se poate afla consultând pagina de manual:
man booleans
Lasă un răspuns